Дослідники з Google, Університету Пердью, Міжнародного інституту інформаційних технологій Хайдарабаду і Ганноверського університету імені Вільгельма Лейбніца кілька років прочісували 2000 звітів про помилки, складених з більш ніж 300 мільйонів помилок, з якими стикалися користувачі Google Chrome, щоб краще класифікувати попередження про помилки сертифікатів.

Дослідники, в числі яких Емілі Старк (Emily Stark), Адріаном Портер Фелті (Adrienne Porter Felt) і Райан сливи (Ryan Sleevi) з Google, сподівалися виявити джерело повідомлень про помилки. В ідеалі за результатами проекту вони хотіли реалізувати більш корисні попередження HTTPS, які б не дуже лякали користувачів, але при цьому і не ігнорувалися ними.

У минулу п'ятницю дослідники опублікували свої висновки в документі «Житла диких попереджень: першопричини помилок сертифікатів HTTPS в Chrome» (Where the Wild Warnings Are: Root Causes of Chrome HTTPS Certificate Errors в форматі PDF ) І планують представити свої знахідки на 24-й конференції ACM з комп'ютерів і інформаційних технологій , Яка відбудеться в кінці жовтня в Далласі, штат Техас.

https://twitter.com/__apf__/status/908780673137205248

our CCS cert errors paper is up !!! https://t.co/CgMMviYOzN (cc @meacer @__apf__ @laparisa @sleevi_ )

- Emily Stark (@ estark37) September 15 2017

Дослідники виявили, що багато помилок спровоковані на стороні клієнта або відбуваються через проблеми з мережею.

Про це вони пишуть так: «У своїй попередній роботі ми пов'язували проблеми HTTPS з діями розробників. Однак з'ясувалося, що проблеми клієнта і мережі мають як мінімум не менший вплив, ніж неправильна конфігурація сервера. З тих звітів, які класифіковані автоматично, половина - це помилки сервера (31,2% від загальної кількості звітів), а інша половина - помилки клієнта або мережі (31,6%). Після ручного аналізу некласифікованих звітів чаша терезів схилилася на користь помилок несерверні походження ».

Значна частина помилок пов'язана з роботою так званих Captive Portal - порталів, перехоплюючих користувача при підключенні, наприклад, до публічних мереж (в аеропортах, готелях і так далі), які підміняють ім'я сайту і тим самим викликають повідомлення про помилку.

Дослідники повідомляють, що тепер замість попередження безпеки для помилок, пов'язаних з роботою Captive Portal, в Chrome передбачений більш інформативний окремий інтерфейс. Також з метою кращого виявлення Captive Portal в браузер включений список «сертифікатів для потенційних ресурсів Captive Portal», що розповсюджується через канал розробників.

Крім того, неправильно виставлене час на системах Windows спровокувало на превеликий подив велика кількість «помилкових помилок», як їх називають самі дослідники. 33,5% помилок сертифікатів з'являлися через неправильно встановленого локального часу в системі. Якщо в системі встановлено час і дата «з майбутнього», браузер може прийти до висновку, що користувач зіткнувся з вичерпаним сертифікатом.

Тепер Chrome буде боротися з помилками часу, показуючи спеціальне попередження для таких користувачів - червоні годинник з підписом «Ваші годинник поспішають».

«Для більш точного визначення помилки годин клієнта ми створили захищену службу часу, у якій Chrome запитує точний час при виникненні помилки з датою сертифіката. Зіткнувшись з сертифікатом з неправильною датою, браузер відправляє HTTP-запит, щоб дізнатися поточний час, і затримує відображення попередження на час до трьох секунд. Отримана відповідь повинен бути підписаний закритим ключем, відповідним відкритому ключу, вбудованому в Chrome. Якщо протягом трьох секунд відповідь буде отримано і час в ньому буде значно відрізнятися від локальних годин, браузер відобразить попередження з годинником », - пишуть дослідники.

За словами дослідників, компанія недавно змінила механізми, через які в Chrome для Android з'являлися помилки з нестачею проміжних сертифікатів, які становлять основну частку всіх помилок сертифікатів в цій ОС, а саме 36%. Ці помилки виникають, якщо сервер не надав необхідні сертифікати і клієнт не може скласти правильну ланцюжок сертифікатів. В Google додали механізм під назвою Authority Information Access в Chrome 58, щоб виправити цю проблему.

«Якщо засвідчує центр сертифіката повідомляє про невірне видавця, Chrome знаходить останній сертифікат без видавця в відправленої сервером ланцюжку. Якщо цей сертифікат містить URL-адресу AIA, браузер знову відправляє сертифікат на перевірку підтверджуючий центр. У разі невдалої спроби Chrome буде повторювати процес до складання коректної ланцюжка сертифікатів або поки не буде вичерпано максимальну кількість спроб ».

Цей механізм допомогла скороченню кількості помилок сертифікатів. Дослідники стверджують, що після травневого впровадження системи в Chrome 58 до серпня кількість помилок, пов'язаних з відсутністю проміжних сертифікатів, знизилося з 36% до всього лише 3%.

За останні роки в Google зробили чимало для поліпшення інформативності попереджень, які відображаються в Chrome. В 2014 році в Chrome дебютував червоний екран, який з'являється, якщо Google вважає сайт фішингових або підозрює про наявність шкідливих програм. В 2015 році попередження в браузері стали більш зрозумілими для звичайних людей. Тепер просто пишеться «Ваше з'єднання не захищене» червоними буквами на сірому тлі і зображений перекреслений червоний замок.

Всього через пару тижнів Chrome почне вважати HTTP-сторінки, які запитують такі відомості, як облікові дані і паролі, «небезпечними». У планах Google в кінцевому рахунку відображати попередження на всіх HTTP-сторінках, навіть якщо користувач відкриває їх в режимі інкогніто. Все для того, щоб користувачі чітко розуміли, що в режимі HTTP обмін даними між браузером і веб-сервером відбувається у відкритому, незахищеному вигляді.